Tanımlanamayan bir sunucuda konuşlandırılan ve bir dosyanın şifresini çözüp yük yükleyen bir yükleyicinin ESET Research tarafından tespit edilmesiyle süreç başladı. Bu, ESET araştırmacılarını, ESET’in LunarWeb adını verdiği, daha önce bilinmeyen bir arka kapının keşfine götürdü. Daha sonra, diplomatik bir misyonda konuşlandırılmış LunarWeb ile benzer bir zincir tespit edildi. Saldırganın, komuta ve kontrol (C&C) iletişimi için farklı bir yöntem kullanan ve ESET’in LunarMail olarak adlandırdığı ikinci bir arka kapıya da yer vermesi dikkat çekti. Başka bir saldırı sırasında ESET, LunarWeb’li bir zincirin, bir Avrupa ülkesinin Orta Doğu’daki üç diplomatik misyonunda, birbirlerinden birkaç dakika içinde eşzamanlı olarak konuşlandırıldığını gözlemledi. Saldırgan muhtemelen dışişleri bakanlığının etki alanı denetleyicisine önceden erişmiş ve bunu aynı ağdaki ilgili kurumların makinelerine yanal hareket için kullanmıştı.

Sunucularda konuşlandırılan LunarWeb, C&C iletişimleri için HTTP(S) kullanır ve meşru istekleri taklit ederken iş istasyonlarında konuşlandırılan LunarMail, bir Outlook eklentisi olarak varlığını sürdürür ve C&C iletişimleri için e-posta mesajlarını kullanır. Her iki arka kapı da tespit edilmekten kaçınmak için komutların görüntülere gizlendiği bir teknik olan steganografi kullanmakta. Yükleyicileri, saldırganlar tarafından kullanılan gelişmiş teknikleri gösteren truva atı haline getirilmiş açık kaynaklı yazılımlar da dahil olmak üzere çeşitli biçimlerde bulunabilir.

Lunar araç setini keşfeden ESET araştırmacısı Filip Jurčacko “Ele geçirmelerde farklı gelişmişlik dereceleri gözlemledik. Örneğin, güvenlik yazılımı tarafından taranmayı önlemek için ele geçirilen sunucuya dikkatli kurulum, kodlama hataları ve arka kapıların farklı kodlama stilleri ile tezat oluşturuyor. Bu durum, bu araçların geliştirilmesi ve çalıştırılmasında muhtemelen birden fazla kişinin yer aldığını gösteriyor.” dedi.

Kurtarılan kurulumla ilgili bileşenler ve saldırgan etkinliği, olası ilk tehlikenin, spearphishing ve yanlış yapılandırılmış ağ ve uygulama izleme yazılımı Zabbix’in kötüye kullanılması yoluyla gerçekleştiğini gösteriyor. Ayrıca saldırgan zaten ağ erişimine sahipti, yanal hareket için çalıntı kimlik bilgilerini kullandı ve şüphe uyandırmadan sunucuyu tehlikeye atmak için dikkatli adımlar attı. Başka bir tehlikede, araştırmacılar, muhtemelen bir spearphishing e-postasından gelen eski bir kötü amaçlı Word belgesi buldular.  LunarWeb, bilgisayar ve işletim sistemi bilgileri, çalışan işlemlerin listesi, hizmetlerin listesi ve yüklü güvenlik ürünlerinin listesi gibi bilgileri toplar ve sistemden dışarı sızdırır.  LunarWeb, dosya ve süreç işlemleri ve kabuk komutlarının çalıştırılması dahil olmak üzere yaygın arka kapı yeteneklerini destekler. İlk çalıştırmada, LunarMail arka kapısı alıcıların gönderilen e-posta mesajlarından (e-posta adresleri) bilgi toplar. Komut yetenekleri açısından LunarMail daha basittir ve LunarWeb’de bulunan komutların bir alt kümesini içerir. Bir dosya yazabilir, yeni bir işlem oluşturabilir, ekran görüntüsü alabilir ve C&C iletişim e-posta adresini değiştirebilir. Her iki arka kapı da Lua komut dosyalarını çalıştırabilme gibi sıra dışı bir yeteneğe sahiptir.

Snake olarak da bilinen Turla en az 2004’ten beri aktif, hatta muhtemelen 1990’ların sonlarına kadar uzanıyor. Rus FSB’sinin bir parçası olduğuna inanılan Turla, çoğunlukla Avrupa, Orta Asya ve Orta Doğu’daki hükümetler ve diplomatik kuruluşlar gibi yüksek profilli kurumları hedef almakta. Grup, 2008’de ABD Savunma Bakanlığı ve 2014’te İsviçreli savunma şirketi RUAG da dahil olmak üzere büyük kuruluşlara sızmakla ünlü. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Avrupalı diplomatlar siber casusların hedefinde yazısı ilk önce En Gazete üzerinde ortaya çıktı.

2014’ten beri aktif olduğu belirtilen grup, Belarus’taki Avrupalılar dahil olmak üzere yalnızca yabancı büyük elçilikleri hedefliyor. 2020’den beri MoustachedBouncer, hedeflerine saldırmak için Belarus’ta ISP seviyesinde ortadaki düşman (AitM) saldırılarını gerçekleştirebiliyor. Grup, ESET’in NightClub ve Disco olarak adlandırdığı iki ayrı araç seti kullanıyor. 

ESET telemetrisine göre, grup Belarus’taki yabancı büyükelçilikleri hedef alıyor. İkisi Avrupa, biri Güney Asya ve biri Afrika’da olmak üzere elçilik personelinin hedef alındığı dört ülke belirlendi. ESET, MoustachedBouncer’ın ve büyük olasılıkla Belarus’un çıkarlarının ortak olduğunu, özellikle Belarus’taki yabancı büyükelçiliklere karşı casusluk konusunda uzmanlaştığını belirtiyor. MoustachedBouncer, Disco implantı için ISP düzeyinde ağ müdahalesi, NightClub implantı için e-postalar ve NightClub eklentilerinden birinde DNS dahil olmak üzere Komuta ve Kontrol (C&C) iletişimleri için gelişmiş teknikler kullanıyor.

Seçilmiş hedeflere yönelik kullanılıyor

ESET Research, MoustachedBouncer’ı ayrı bir grup olarak takip ederken; grubun 2023 yılında Polonya ve Ukrayna dahil olmak üzere birçok Avrupa ülkesinin hükumet personelini hedef alan başka bir aktif casusluk grubu olan Winter Vivern ile işbirliği yaptığına dair -ESET tarafından zayıf olarak değerlendirilen- unsurlar bulundu. MoustachedBouncer operatörleri, hedeflerini tehlikeye atmak için kurbanlarının internet erişimine muhtemelen ISP seviyesinde müdahale ederek Windows’u bir tutsak portalın arkasında olduğuna inandırıyor. Yeni tehdit grubunu keşfeden ESET araştırmacısı Matthieu Faou, “MoustachedBouncer tarafından hedeflenen IP aralıkları için, ağ trafiği görünüşte meşru ancak sahte bir Windows Update sayfasına yönlendiriliyor,” dedi. “Bu ortadaki düşman tekniği, tüm ülke genelinde değil ama belki de sadece büyükelçilikler gibi seçilmiş bazı kuruluşlara karşı kullanılıyor. Ortadaki düşman senaryosu, bize ISP seviyesinde yazılım indirenlere, indirme sırasında truva atı gönderen tehdit grubu olan Turla ve StrongPity’yi hatırlatıyor.”

Ses kaydı, ekran görüntüsü alabiliyor, ekran tuşlarını kaydedebiliyor

ESET Araştırmacısı, “Elçilik ağlarına ortadaki düşman (AitM) saldırıları gerçekleştirmek için yönlendiricilerin ele geçirilmesi ihtimali göz ardı edilemezken, Belarus’ta yasal dinleme unsurlarının varlığı, trafiğin hedeflerin yönlendiricileri yerine ISP düzeyinde gerçekleştiğini gösteriyor,” şeklinde durumu açıkladı. 

2014’ten bu yana MoustachedBouncer tarafından kullanılan kötü amaçlı yazılım ailesi gelişti ve 2020’de grubun ortadaki düşman saldırılarını kullanmaya başlamasıyla büyük bir değişiklik oldu. MoustachedBouncer, iki implant ailesini paralel olarak çalıştırıyor ancak belirli bir makinede aynı anda yalnızca bir tanesi yerleştiriliyor. ESET, Disco’nun AitM saldırılarıyla bağlantılı olarak kullanıldığına inanırken NightClub, internet trafiğinin Belarus’un dışına yönlendirildiği uçtan uca şifreli bir VPN kullanımı gibi bir azaltma nedeniyle ISP düzeyinde trafik müdahalesinin mümkün olmadığı kurbanlar için kullanılır.

Faou, “Buradan alınması gereken mesaj, İnternetin güvenilir olmadığı yabancı ülkelerdeki kuruluşların, herhangi bir ağ inceleme cihazını atlatmak için tüm İnternet trafiklerinde güvenilir bir konuma yönlendiren uçtan uca şifreli bir VPN tüneli kullanmaları gerektiğidir. Aynı zamanda yüksek kaliteli, güncel bilgisayar güvenliği yazılımı kullanmaları da gerekir.” dedi.

NightClub implantı, verileri sızdırmak için Çek web posta hizmeti Seznam.cz ve Rus Mail.ru web posta sağlayıcısı gibi ücretsiz e-posta hizmetlerini kullanıyor. ESET, saldırganların yasal e-posta hesaplarını tehlikeye atmak yerine kendi e-posta hesaplarını oluşturduklarına inanıyor.  Tehdit grubu, dosyaları çalmaya ve harici olanlar da dahil sürücüleri izlemeye odaklanıyor. NightClub implantının yapabildikleri arasında ses kaydı, ekran görüntüsü alma ve klavye tuş vuruşlarını kaydetmek yer alıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Casusluk grubunun hedefi diplomatlar yazısı ilk önce En Gazete üzerinde ortaya çıktı.